AIRIA Systems GmbH

Rechtliches · DSGVO Art. 28 · Anlage 4

Unterauftragnehmer

Version 1.0 · 28. April 2026

Geltung
Anlage 4 / Annex D zum MSA und DPA zwischen AIRIA Systems GmbH und Kunde
Version
1.0 vom 28. April 2026
Veröffentlicht unter
airia.systems/legal/subprocessors

Sprache und Geltung

Diese Liste ist Bestandteil der zwischen AIRIA Systems GmbH und ihren Kunden geschlossenen Auftragsverarbeitungsvereinbarung (AVV / DPA) sowie des zugehörigen Master Services Agreement (MSA). Die englische Fassung ist unter airia.systems/en/legal/subprocessors verfügbar; bei Widerspruch geht die deutsche Bezeichnung der juristischen Person und ihres Sitzes vor.

1 · Aktive Unterauftragnehmer

Die folgenden Unterauftragnehmer verarbeiten personenbezogene Kundendaten im Auftrag des Verantwortlichen im Sinne des Art. 4 Nr. 8 DSGVO.

#Juristische PersonSitzFunktionVerarbeitungsortAufnahme
1 Hetzner Online GmbH (HRB 6089, Ansbach) Industriestr. 25, 91710 Gunzenhausen, Deutschland Compute, Storage, Netzwerk (virtualisierte Cell-Infrastruktur, PBS-Backups). Primär-Cell: Falkenstein DE; Off-Site-verschlüsseltes Backup-Ziel: Helsinki FI. Deutschland (DE) — primär; Finnland (FI) — verschlüsseltes Backup ausschließlich. Beide EU. Intra-EU-Übermittlung DE→FI anerkannt (keine SCCs erforderlich). Go-Live
2 KI-Inferenz-Anbieter (LLM) — vor Aufnahme der Verarbeitung zu bestätigen EU-Mitgliedstaat (konkreter Sitz gemäß § 4 zu benennen) KI-Inferenz — LLM-Antwortgenerierung Ausschließlich EU Zu bestätigen
3 Embedding-Fallback-Anbieter — vor Aufnahme der Verarbeitung zu bestätigen EU-Mitgliedstaat (konkreter Sitz gemäß § 4 zu benennen) KI-Inferenz — Embedding-Fallback im Degraded-Mode (wird nur aktiviert, wenn der primäre On-Premises-Embedding-Dienst nicht verfügbar ist) Ausschließlich EU Zu bestätigen
4 BioDec S.r.l. (P.I./C.F. 02327271207) Via Calzavecchio 20/2, 40033 Casalecchio di Reno (BO), Italien Linux- und Host-OS-Infrastruktur — Wartung und 24×7 Monitoring; kein direkter Zugriff auf Anwendungs-/Mandantendaten auf Application-Layer Italien (EU) Go-Live

Abdeckung der EU-Belegenheit. Sämtliche oben gelisteten Unterauftragnehmer sind in der EU eingetragen und operativ tätig und nicht US-Hoheitsträgern (insbesondere FISA 702 oder CLOUD Act) unterworfen. Eine Drittlandsübermittlung im Sinne des Art. 44 ff. DSGVO findet nicht statt; die intra-EU-Übermittlung DE→FI für verschlüsselte Backups ist eine Übermittlung innerhalb des EWR und erfordert keine SCCs.

Die in den Zeilen 2 und 3 benannten konkreten Unterauftragnehmer werden aus Anbietern ausgewählt, die sämtliche der folgenden Kriterien erfüllen:

  1. juristische Person mit Sitz und Hauptniederlassung in einem EU-Mitgliedstaat;
  2. Datenverarbeitung und operativer Support ausschließlich innerhalb der EU;
  3. strukturell außerhalb der Reichweite extraterritorialer US-Gesetzgebung — keine US-Muttergesellschaft, keine Notierung an einer US-Börse (CLOUD Act-Resilienz);
  4. konform mit den jeweils geltenden Pflichten aus dem EU AI Act.

Der Verantwortliche wird über jeden konkreten Unterauftragnehmer mindestens 30 Tage vor Aufnahme der Verarbeitung benachrichtigt, gemäß dem Änderungsmechanismus in § 4. Bis zur Benennung der konkreten Unterauftragnehmer fließen ab Phase 0 keine personenbezogenen Kundendaten an Inferenz-Anbieter.

2 · Interne Beobachtbarkeit — keine Auftragsverarbeitung; primäre Embedding-Inferenz — kein Unterauftragnehmer

(1) AIRIA betreibt für ihre eigenen Betriebszwecke einen selbst-gehosteten LGTM-Stack (Loki, Grafana, Tempo, Mimir) auf der unter Ziffer 1, Zeile 1 dieser Anlage gelisteten Hetzner-DE-Infrastruktur. Dieser Stack dient ausschließlich der Plattform-Beobachtbarkeit (Logging, Tracing, Performance-Monitoring) für AIRIAs eigene Betriebsverantwortung.

(2) Die in den Stack einfließenden Datenströme bestehen ausschließlich aus:

  1. obfuscated Stack-Traces (ohne Inhalts-Daten);
  2. System-Ebene Anwendungs-Identifikatoren (z. B. Mandanten-IDs als opake Hashes, ohne Klartext-Bezug auf den Verantwortlichen oder dessen Nutzer);
  3. Systemmetriken (CPU, Speicher, Latenz, Fehlerraten).

(3) Personenbezogene Kundendaten werden in diese Werkzeuge nicht eingespeist. Diese Werkzeuge sind daher keine Unterauftragnehmer im Sinne des Art. 4 Nr. 8 DSGVO und nicht in Ziffer 1 dieser Anlage aufgeführt. Die Verarbeitung steht jedoch unter Aufsicht der TOMs in Anlage 2 zur AVV (insbesondere Zugriffskontrolle, Verschlüsselung).

(4) Sollte AIRIA künftig Beobachtbarkeitsdaten verarbeiten, die personenbezogene Kundendaten enthalten, würde der entsprechende Anbieter zu einem Unterauftragnehmer im Sinne des Art. 4 Nr. 8 DSGVO und unter dem Änderungsmechanismus aus § 6 AVV / § 10 MSA in Ziffer 1 dieser Anlage aufzunehmen sein.

(5) Primäre Embedding-Inferenz ist kein Unterauftragnehmer. Die Vektor-Embedding-Inferenz erfolgt primär durch ein selbst-gehostetes Binary auf der unter Ziffer 1, Zeile 1 dieser Anlage gelisteten AIRIA-betriebenen Hetzner-DE-Hardware. Die Modell-Gewichte werden einmalig beim initialen Deployment aus einem öffentlichen Modell-Repository heruntergeladen; zur Inferenzzeit werden keine personenbezogenen Kundendaten an dieses Repository übermittelt. Nur der Embedding-Fallback im Degraded-Mode (Zeile 3) beinhaltet einen Drittanbieter-Unterauftragnehmer.

3 · Empfänger interner Konzern-Funktionen

Keine — die AIRIA Systems GmbH hat keine Konzerngesellschaften, an die personenbezogene Kundendaten weitergeleitet werden.

4 · Änderungsmechanik

Änderungen an dieser Liste folgen § 10 MSA und § 6 DPA: 30 Tage Vorankündigung, 15 Tage Widerspruchsrecht des Kunden, 30-Tage-Verhandlung in gutem Glauben, anschließendes Sonderkündigungsrecht des Kunden gegen anteilige Erstattung als ausschließliches Rechtsmittel.

5 · Bestätigung der TOMs der Unterauftragnehmer

AIRIA verfügt für jeden gelisteten Unterauftragnehmer über mindestens eines der folgenden Nachweise:

  1. ISO/IEC 27001 oder ISO/IEC 27017/27018 Zertifikat;
  2. SOC 2 Type II Bericht (sofern vom Anbieter ausgestellt);
  3. DPA des Anbieters mit den nach Art. 28 Abs. 3 DSGVO erforderlichen Inhalten;
  4. Nachweis der EU-Belegenheit (Handelsregisterauszug, Datacenter-Standort).

Diese Nachweise werden dem Kunden auf zumutbare Anfrage zugänglich gemacht.

Sub-Processor-Liste · Version 1.0 vom 28. April 2026 · AIRIA Systems GmbH · Grünberger Straße 54 · 10245 Berlin · [email protected]